[ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

Проблемы с установкой или работой phpBB 3.3.x? Получите помощь здесь!
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Мини [FAQ] по phpBB 3.1.x/3.2.x | FAQ | Как задавать вопросы | Как устанавливать расширения

Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ;) ).
Аватара пользователя
rxu
phpBB Guru
phpBB Guru
Сообщения: 17217
Стаж: 20 лет 1 месяц
Откуда: Красноярск
Благодарил (а): 584 раза
Поблагодарили: 1778 раз

[ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

Сообщение rxu »

Как уже известно из новостей о выходе phpBB 3.3.17, все версии до указанной (вплоть до 3.1.0) подвержены уязвимости, связанной с возможностью простого обхода авторизации и входа с использованием только имени аккаунта (без пароля) любого пользователя. Включая администратора или модератора. Злоумышленники смогут произвести любые действия от имени такого пользователя, на которые у этого пользователя есть соответствующие права, за исключением входа в админраздел.
Уязвимость найдена с помощью ИИ.

Чтобы предотвратить данный сценарий до того, как появится возможность обновить конференцию, необходимо:
  1. Отключить аутентификацию OAuth в админразделе (Главная страница админраздела - Средства связи - Аутентификация).
  2. Отредактировать файл \config\default\container\services_auth.yml, удалив блоки

    Код: Выделить всё

        auth.provider.apache:
        class: phpbb\auth\provider\apache
        arguments:
            - '@config'
            - '@dbal.conn'
            - '@language'
            - '@request'
            - '@user'
            - '%core.root_path%'
            - '%core.php_ext%'
        tags:
            - { name: auth.provider }

    auth.provider.ldap:
        class: phpbb\auth\provider\ldap
        arguments:
            - '@config'
            - '@dbal.conn'
            - '@language'
            - '@user'
        tags:
            - { name: auth.provider }
  3. Удалить с сервера следующие файлы:
    • /phpbb/auth/provider/apache.php
    • /phpbb/auth/provider/ldap.php
  4. Очистить кэш конференции.
Изображение
Вернуться к началу
Shredder
Former team member
Сообщения: 2259
Стаж: 17 лет 5 месяцев
Благодарил (а): 162 раза
Поблагодарили: 149 раз

Re: [ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

Сообщение Shredder »

Так и знал, что этот ИИ чё-нибудь такое там обнаружит.
Вернуться к началу
Аватара пользователя
Nekstati
Поддержка
Поддержка
Сообщения: 3343
Стаж: 17 лет 2 месяца
Благодарил (а): 17 раз
Поблагодарили: 563 раза

Re: [ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

Сообщение Nekstati »

Можно исправить без отключения функций и удаления файлов - так же, как оно исправлено в последней версии:

Код: Выделить всё

// открыть файл
includes\ucp\ucp_login_link.php
// найти строку
		$auth_provider = $provider_collection->get_provider($request->variable('auth_provider', ''));
// заменить на
		$auth_provider = $provider_collection->get_provider();

// открыть файл
phpbb\auth\provider\base.php
// найти функцию
	public function login_link_has_necessary_data(array $login_link_data)
	{
		return;
	}
// или найти (в более старых версиях)
	public function login_link_has_necessary_data($login_link_data)
	{
		return;
	}
// заменить на
	public function login_link_has_necessary_data(array $login_link_data)
	{
		return 'LOGIN_LINK_MISSING_DATA';
	}
Вернуться к началу
Аватара пользователя
southklad
phpBB 3.1.0 RC4
Сообщения: 3449
Стаж: 14 лет 5 месяцев
Благодарил (а): 706 раз
Поблагодарили: 173 раза

Re: [ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

Сообщение southklad »

Одного из изменений от rxu, или Nekstati, достаточно, чтобы временно закрыть дыру? Сейчас обновляю один форум, а за ним второй.
Изображение
Вернуться к началу

Вернуться в «Поддержка phpBB 3.3.x»